HeroImage-Footer-Disclaimer-v003.png

Spanish Privacy Notices

Effective Date: 2/2024 | Last Update: 2/2024 

EMPLOYEE PRIVACY POLICY - SPAIN

1. Basics

Cross River Sepharad Sociedad Limitada(the “Company”, “CRS”, “us” or “we”) having its principal office at calle Suero de Quiñones, 34-36 – 28002 Madrid, collects and processes information relating to you and other identified or identifiable individuals (“Personal Data”) as further described below. This Employee Privacy Policy (“Policy”) explains which Personal Data we process and for which purposes, as well as other details necessary to ensure fair and transparent processing of Personal Data when we act as “data controller” of Personal Data (this means, when we determine why Personal Data is processed, and how it is processed).

This Policy is provided to you further to applicable data protection laws. It does not constitute or form part of any contract (particularly, it is not part of your employment contract). It does not award any contractual right on you, nor place any contractual obligation on us. CRS is the data controller of your Personal Data. Where processing of Personal Data is carried out by affiliates of the Company for their own independent purposes, these affiliates may become independent or joint data controllers of your Personal Data and a separate privacy policy will be provided to you in compliance with applicable laws.

Throughout this Policy we use the terms “to process” and “processing” to refer to all activities involving your Personal Data, including collecting, handling, storing, sharing, accessing, using, transferring, erasing and disposing of Personal Data.

This Policy applies primarily to the Personal Data of current and former employees, as well as third parties whose information you may provide to us in connection with the contractual relationship (for example, your emergency contacts’ and beneficiaries’ information).

2. Which Personal Data We Process

The types of Personal Data we process will vary depending on your role, your location and the terms and conditions of employment relevant to you. Typically, the categories of Personal Data we process will include the following:

  • Your Personal Identification Details – your full legal name, gender, date of birth, home contact details (for example, address and location, telephone number, e-mail), National ID Card / Foreign Resident Card / Passport number, Social Security Number and emergency contact information;

  • Basic Work Details – eligibility to work data, work contact details, employee number, job title, job description, reporting lines, working hours and your terms and conditions of employment;

  • Professional Qualifications – education and training; where applicable, including qualifications (diplomas held, certifications, licenses) and your prior employment history;

  • Recruitment/Selection Data – Personal Data contained in your CV/resume, application, record of interview, and verification documentation;

  • Remuneration and Benefits Data – details of your pay and benefits package, bank account details, tax information, and third-party benefit recipient information;

  • Leave Data – your holiday, absences and family leave records;

  • Incapacity Data – Personal Data contained in your absence records and certificates and records relating to any adjustments or accommodations;

  • Disciplinary and Grievance Data – any Personal Data contained in records of allegations, investigations and proceedings, and their outcomes;

  • Performance Management Data – feedback, appraisals, outputs from talent programs and performance management processes;

  • Training and Development Data – participation in training and career development programs;

  • Workplace Health and Safety Data – Personal Data in safety audits, risk assessments and incident reports, as well as for pandemic management and public health requirements and recommendations;

  • Employee Claims, Complaints and Disclosures Data – Personal Data relating to (employment-based) litigation and complaints, employee involvement in incident reporting and disclosures;

  • Termination Data – termination arrangements, exit interviews;

  • Corporate Conduct and Management Data – Personal Data generated in the course of your employment or engagement, and performing your responsibilities with colleagues, customers, vendors and business partners; and information relating to the management of our relationship with you; and

In some cases, providing your Personal Data is necessary to enter into your employment contract with us, or to comply with applicable law. If you do not provide us with such information, we may not be able to perform our contract with you. We will inform you when providing your Personal Data is necessary and what the impact on your relationship will be if you do not provide it. For example, if you do not provide us with your bank details, we will not be able to pay you. In some cases it may mean that we are unable to continue with your employment because the Company will not have the Personal Data we believe to be necessary for the effective and efficient administration and management of our relationship with you.

3. Legal Basis and Purposes for Processing

3.1 Legal Basis for Processing

Whenever we process Personal Data, we do so relying on a so-called “legal basis for processing”. To process your Personal Data, we will be relying on one of the following legal bases:

  • processing is necessary to give effect to your contract of employment or to take pre-contractual measures: collecting bank account details to pay your salary by direct deposit, reimburse expenses, pay bonuses; managing stock awards and incentives; administering contractual benefits; creating your access rights; responding to and resolving grievances; managing contacts and beneficiary details; administering disciplinary actions and termination; providing references; assessing applications for new job opportunities for existing employees; making recruitment decisions; reviewing your performance at work; and facilitating the performance of your duties and responsibilities;

  • processing is necessary for us to comply with a legal obligation in accordance with Spanish and European Union laws: administering mandatory benefits; reviewing eligibility for work; creating an employee record (including absences); addressing occupational health issues; managing professional qualifications; managing and reporting on health and safety at work; managing IT security; disclosing tax data to a government authority or salary information to a national insurance and/or social security scheme; assisting with government and law enforcement investigations; responding to law enforcement and legal requests; and complying with mandatory retention requirements;

  • processing is in our legitimate interests as a business and as your employer (or the legitimate interests of a third party) and these interests are not overridden by your interests, fundamental rights or freedoms as a data subject; administering training programs; managing litigation or other legal requests / compliance obligations, particularly the ones produced by or related to the regulatory board and agencies of the US and, more specifically, of the Federal Deposit Corporation “FDIC”; monitoring IT use in accordance with Article 87 of the new Spanish Fundamental Act 3/2018 on the Protection of Personal Data and the Guarantee of Digital Rights (“NLOPD”) and the Monitoring and Access Policy implemented by CRS further to that provision; responding to customer complaints; preparing or implementing reorganizations; and facilitating the conduct of our business;

3.2 Processing for Corporate Conduct and Human Resources Management Purposes

CRS will process your Personal Data for the purpose of HR management and to efficiently carry out our business operation. This may include processing your Personal Data to:

  • assess applications for new job opportunities for existing employees and make recruitment decisions;

  • analyse eligibility to work;

  • create IT and premises access rights;

  • create employee records on our HR IT system;

  • handle day-to-day features of your employment relationship, including:

    • paying salary, reimbursable expenses and bonuses;

    • managing incentives plans;

    • administering benefits;

    • creating and maintaining records relating to your absence from work;

    • creating and maintaining training records and administering training programs;

    • addressing occupational health issues, incapacity at work and making reasonable adjustments;

    • reviewing and reporting on your performance at work;

    • responding to and resolving grievances;

    • conducting disciplinary and grievance processes; and

    • managing professional certifications / licenses and interacting with regulatory bodies on your behalf;

  • maintain emergency contact and beneficiary details;

  • manage health and safety at work and report on incidents;

  • monitor employee use of IT systems in order to verify compliance with employment obligations and to preserve the safety of our IT systems, consistently with Article 87 of NLOPD and with our dedicated Monitoring and Access Policy.

  • conduct or assist with internal, government, law enforcement and other investigations;

  • investigate and respond to complaints from customers;

  • prepare for or implement a reorganization or financing of any group assets or entities;

  • prepare for or respond to litigation, legal, law enforcement or other requests;

  • administer employment termination and provide references; and

  • facilitate the performance of your duties and responsibilities, and the conduct of our business.

As stated above, when Personal Data is based on our legitimate interests, and specifically our interests in:

  • the effective management and operation of the Company as well as the Cross River group (in the sense of Article 42 of the Spanish Code of Commerce);

  • our engagement with our workforce;

  • developing our business and the business of the Cross River group as a whole;

  • increasing the efficiency of our processes and practices;

  • striving to ensure compliance with applicable laws and business norms;

  • avoiding or mitigating harm to you, to our customers and stakeholders, to us and the Cross River group, and to third parties.

In very exceptional circumstances, truly voluntary programs may involve processing based on your consent. If consent is required for the processing in question, it will be sought from you separately to ensure that it is freely given, specific, informed, unambiguous and (where necessary) explicit. Information regarding processing based on your consent will be provided to you at the time that consent is requested, along with the consequences of not providing any such consent. It is not a condition or requirement of your employment to agree to any request for consent from the Company.

3.3 Establish, Exercise and Defend Legal Claims

The Company may process your Personal Data for the purposes of establishing, exercising and defending potential legal claims. Your Personal Data is processed for this reason on the basis of the Company’s legitimate interest and legal authorization in being able to establish, exercise and/or defend potential legal claims in the event of a dispute or controversy between you and the Company, or between the Company and a third party, which may be related to or implicate your employment, as well as in the context of organizing or conducting internal investigations, or in connection with government or law enforcement, investigation or request.

4. Collection

The Personal Data we process about you will have been provided mainly by you, either during your application for employment, the employee onboarding process, or HR management processes and during the course of your employment.

You will usually provide the Personal Data directly to your managers or local Human Resources contacts or enter it into systems (for example, through your participation in Human Resources processes, emails you send or through verbal information that may be recorded).

During the recruitment process, we may request academic and prior employment references from third parties, and carry out screening and vetting processes using third party sources, and retain that Personal Data after you have been employed. No information on criminal records or regulatory infringements will be collected nor processed. We also receive information that may include your Personal Data from your manager (for example, in respect of performance reviews), from Human Resources, or from other colleagues (for instance, in the course of conducting a disciplinary investigation).

From time to time, we may also receive Personal Data about you from other third parties: our customers and vendors, our business partners, regulatory bodies, tax or judicial authorities, or benefit providers. In some circumstances, Personal Data may be collected indirectly from monitoring devices or by other means.

5. Retention Periods

Our general approach is to only retain our employees Personal Data for as long as is required to satisfy the purpose for which it was collected by us or provided by you, including for the duration of the applicable statute of limitations, which may surpass the term of your employment. For example, we retain records in order to resolve queries or disputes, or bring or defend claims which we think may arise from time to time during the relevant statute of limitations. In certain cases, legal or regulatory obligations require us to retain specific records for a set period of time, including following the end of your employment.

6. Who can access your Personal Data

Within the Company, your Personal Data can be accessed by or may be disclosed within the Cross River group (in the sense of Article 42 of the Spanish Code of Commerce) on a need-to-know basis to:

  • local and global Human Resources, including managers and other HR team members;

  • local and executive management handling your relationship with the Company or when involved in a Human Resources process concerning your relationship with the Company (including, without limitation, staff from Compliance, Legal, Information Technology and Audit);

  • IT system administrators; and

  • where necessary for the performance of specific tasks or system maintenance by Company staff such as the Finance Department and IT Department.

Certain basic Personal Data, such as your name, location, job title and contact information may also be accessible to other Cross River group employees world-wide via internally used systems.

Your Personal Data may be accessed by third parties who process data on our behalf (travel expense services providers, companies that provide us hosting, support and maintenance for our information systems, benefits and financial service providers, and their affiliated companies and sub-contractors). Data contained in such systems may be accessible by providers of those systems, their affiliated companies and sub-contractors. These service providers will normally act as a “processor”, carrying out their tasks on our behalf and upon our instructions for the above-mentioned purposes. In this case your Personal Data will only be disclosed to these parties to the extent necessary to provide the required services. Should they become “controllers”, for deciding part of the criteria applied in the processing procedures, you would be informed in advance and the relevant privacy policies of these third parties (and the main terms of join controllership agreements) would be shared with you.

Other third parties with whom your Personal Data will be shared are: tax authorities, regulatory authorities, state pension plans, state social security providers, the Company's insurers, bankers, IT administrators, lawyers, auditors, investors, potential acquirers, consultants and other professional advisors, and administrators of the Company's benefits programs. The Company expects such third parties to process any Personal Data disclosed to them in accordance with applicable law, including with respect to data confidentiality and security.

In addition, we may share Personal Data with national or other judiciary authorities, or parties to litigation and their advisors, in order to exercise or defend rights in court or comply with a legal obligation to which we are subject. This is for example the case in connection with imminent or pending legal proceedings or a statutory audit.

7. Transferring your Personal Data

We may store, access or transfer your Personal Data to recipients located in the USA or multiple countries outside the European Economic Area, for the purposes and to the recipients set forth in this Policy. Whenever we transfer Personal Data to third parties (including affiliated companies) or suppliers in the USA or in other countries that have not been determined by the European Commission to grant adequate protection to Personal Data, we transfer that data as permitted by applicable data protection laws pursuant to the European Commission-approved Standard Contractual Clauses.

Where applicable, you are entitled, upon request to privacy@crossriver.comto receive a copy of any relevant contract including the appropriate safeguards (for example, Standard Contractual Clauses) that have been taken to protect your Personal Data in connection with such transfer. Transfers of Personal Data in accordance with this Section are based on the same legal bases as applicable for the respective purposes of processing as set forth above.

8. Your Data Rights

Subject to any specific conditions provided under applicable law (particularly in the EU’s General Data Protection Regulation 2016/679 “GDPR” and in the NLOPD), you have the following data rights in respect of your Personal Data:

  • Right to Access – you have the right to request access to any of your Personal Data that the Company may hold, and to obtain information about the processing of that data.

  • Right to Rectify – you are entitled to have any inadequate, incomplete or incorrect Personal Data corrected (that is, rectified). You also have a responsibility to ensure that changes in personal circumstances are notified to the Company so that we can ensure that your Personal Data is up-to-date. Furthermore, the Company will take steps in accordance with applicable legislation to keep your Personal Data accurate, complete and up-to-date.

  • Right to Erasure – subject to applicable legal restrictions,you are entitled to have your Personal Data erased under specific circumstances where there is no legal obstacle, including the requirement to mitigate fraud, such as where you have withdrawn your consent, where you object to processing based on legitimate interests due to your particular situation and we have no overriding legitimate grounds or where Personal Data is unlawfully processed.

  • Right to Restriction of Processing – you have the right to restrict our processing of your Personal Data where:

    • you contest the accuracy of the Personal Data, until we have taken sufficient steps to correct or verify its accuracy;

    • the processing is unlawful but you do not want us to erase the Personal Data;

    • we no longer need your Personal Data for the purposes of the processing, but you require such Personal Data for the establishment, exercise or defence of legal claims; or

    • you have objected to processing justified on legitimate interest grounds, pending verification as to whether the Company has “compelling legitimate grounds” to continue processing.

Where your Personal Data is subject to restriction we will only process it with your prior, explicit, free and informed consent or for the establishment, exercise or defence of legal claims.

  • Right to Withdraw Consent – in the exceptional event your Personal Data is processed on the basis of your consent, you have the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal.

  • Right to Object to Processing Based on Legitimate Interest Basis – where we are relying upon our legitimate interests to process Personal Data, you have the right to object to that processing based on grounds related to your particular situation. If you object, we must stop that processing unless we can demonstrate compelling legitimate grounds for the processing that override your interests, rights and freedoms, or we need to process the Personal Data for the establishment, exercise or defence of legal claims. Where we rely upon legitimate interest as a legal basis for processing, we believe that we can demonstrate such compelling legitimate grounds, but we will consider each case on an individual basis.

  • Data Portability – where we are relying (as the legal basis for processing) upon your consent, or the fact that the processing is necessary to perform a contract to which you are party or to take steps at your request prior to entering a contract, and the Personal Data is processed by automated means, you have the right to receive all such Personal Data which you have provided to the Company in a structured, commonly used and machine-readable format, and also to require us to transmit it to another controller where this is technically feasible.

If appropriate, we may ask you in exceptional cases for additional information to verify your identity. Each of the rights listed above may be subject to exemptions under the GDPR or local laws. Where we rely on exemptions to withhold information or refrain from complying with all or part of a request, we will explain this to you.

You also have the right to lodge a complaint with the supervisory authority, in particular of your habitual residence, place of work or place of alleged infringement (in the case of Spain, check www.aepd.es to contact the Spanish Data Protection Commissioner “Agencia Española de Protección de Datos”), if you consider that the processing of your Personal Data infringes applicable law.

9. Personal Data of Third Parties

Apart from Personal Data relating to yourself, you may also provide the Company with Personal Data of third parties, notably your dependents and other family members and beneficiaries, for purposes of administration of benefits and to contact in an emergency (in the latter case, the legal basis for processing will be the need to protect the vital interests of the you as a data subject or of another natural person). Before you provide such third parties’ Personal Data to the Company you must first demonstrably inform these third parties of any such Personal Data which you intend to provide to the Company and of the processing to be carried out by the Company, as detailed in this Policy.

10. Security Measures

We implement what we determine to be reasonable physical, technical and administrative security standards designed to protect your Personal Data from loss, misuse, alteration, destruction or damage.

We take steps to limit access to your Personal Data to those colleagues or service providers who need to have access to it for one of the purposes listed above.

You also have an important role to play in protecting the security of your Personal Data, and you should take care in disclosing Personal Data, and how you protect your communications and devices.

11. Contacting Cross River Sepharad - Exercising Your Data Rights

To obtain further information regarding your rights, to exercise any of your rights (other than lodging a complaint with the supervisory authority), or to ask any questions regarding the processing of your Personal Data, please contact privacy@crossriver.com.

12. Updates

Any changes or updates we may make to this Policy will be posted on this page in advance. We will notify current employees in advance about any changes to this Policy that are material or may impact you. For other changes, please check back frequently on this page to see any updates or changes to this Policy.

POLÍTICA DE PRIVACIDAD PARA EMPLEADOS - ESPAÑA

1. Generalidades

Cross River Sepharad Sociedad Limitada (la “Sociedad”, “CRS”, “nuestro” o “nosotros”), con domicilio social en Calle Suero de Quiñones, 34-36 – 28002 Madrid, recoge y trata información relativa a usted y otras personas físicas identificadas o identificables (“Datos de Carácter Personal”), según se describe más adelante. La presente Política de Privacidad para Empleados (“Política”) explica qué Datos de Carácter Personal tratamos y para qué fines, así como otros detalles necesarios para garantizar el tratamiento justo y transparente de los Datos de Carácter Personal, cuando actuamos como “responsables del tratamiento” de tales datos (esto es, cuando decidimos porqué y cómo se realiza el tratamiento de Datos de Carácter Personal).

Se le proporciona esta Política conforme a lo dispuesto en las leyes aplicables en materia de protección de datos. No constituye ni forma parte de ningún contrato (en concreto, no es parte de su contrato de trabajo). A usted no le otorga ningún derecho contractual, y a nosotros no nos impone obligación contractual alguna. CRS es el responsable del tratamiento de sus Datos de Carácter Personal. Cuando el tratamiento de los Datos de Carácter Personal lo realizan filiales de la Sociedad para sus propios y particulares fines, dichas filiales podrían convertirse en responsables del tratamiento, independientes o conjuntos, de sus Datos de Carácter Personal, y se le facilitará una política de privacidad aparte, conforme a las leyes aplicables.

En la presente Política, utilizamos los términos “tratar” y “tratamiento” para referirnos a todas las actividades que afecten a sus Datos de Carácter Personal, incluida la recogida, gestión, el almacenamiento, la comunicación, el acceso, utilización, la transferencia, el borrado y la eliminación de tales datos.

Esta Política resulta de aplicación principalmente a los Datos de Carácter Personal de antiguos y actuales empleados, así como de terceros de los que usted pudiera proporcionarnos información con respecto a la relación contractual (por ejemplo, información sobre sus contactos en caso de emergencia y sus beneficiarios).

2. Datos personales objeto de nuestro tratamiento

Las clases de Datos de Carácter Personal que tratamos variarán dependiendo de su rol, su ubicación y los términos y condiciones de contratación que le sean aplicables. En general, las categorías de Datos de Carácter Personal que tratamos incluyen:

  • Sus datos personales de identificación - su nombre completo, sexo, fecha de nacimiento, datos de contacto de su domicilio particular (por ejemplo, dirección y ubicación, número de teléfono, email), Documento Nacional de Identidad / Tarjeta de Residente Extranjero / Número de Pasaporte, Número de la Seguridad Social, e información de contacto en caso de emergencia;

  • Datos laborales básicos - datos sobre su elegibilidad para trabajar, datos de contacto profesionales, número de empleado, puesto de trabajo, descripción de funciones, líneas jerárquicas, jornada laboral y los términos y condiciones de su contratación.

  • Cualificaciones profesionales - educación y formación; en su caso, incluidas titulaciones (diplomas, certificados, licencias que se ostenten) y su historial laboral previo.

  • Datos de contratación/selección - Datos de Carácter Personal contenidos en su CV, solicitud, anotaciones de la entrevista y documentación de verificación;

  • Datos sobre remuneración y beneficios - detalles de su salario y paquete de beneficios, detalles de la cuenta bancaria, información fiscal, e información de los terceros receptores de beneficios;

  • Datos sobre permisos - historial de sus vacaciones, ausencias y permisos por motivos familiares.

  • Datos sobre incapacidades - Datos de Carácter Personal contenidos en los registros y certificados relativos a sus ausencias, y otros relativos a ajustes o adaptaciones.

  • Datos sobre expedientes disciplinarios o de agravio - Datos de Carácter Personal contenidos en los registros de alegaciones, investigaciones y procedimientos, y sus resultados.

  • Datos sobre la gestión del rendimiento - retroalimentación, valoraciones, resultados derivados de programas de talento y procesos de gestión del rendimiento.

  • Datos sobre formación y desarrollo - participación en programas de formación y desarrollo profesional.

  • Datos relativos a la salud y la seguridad en el trabajo - Datos de Carácter Personal en auditorías de seguridad, valoración del riesgo e informes sobre incidencias, así como los relativos a requisitos y recomendaciones de salud pública y gestión de pandemias.

  • Datos de demandas, reclamaciones y comunicaciones por parte del Empleado - Datos de Carácter Personal relativos a litigios y reclamaciones (relativos al trabajo), implicación del empleado en la denuncia y comunicación de incidencias.

  • Datos sobre Extinción - gestiones para la terminación, entrevistas de salida.

  • Datos sobre la dirección y gestión corporativa - Datos de Carácter Personal generados en el transcurso de su empleo o contratación, y cumplimiento de sus responsabilidades para con compañeros, clientes, vendedores y socios de negocio; e información relativa a la gestión de nuestra relación con usted; y

En algunos casos, facilitar sus Datos de Carácter Personal resulta necesario para formalizar su contrato de trabajo con nosotros, o para cumplir con las leyes aplicables. Si no nos proporciona tal información, es posible que no podamos dar efecto a nuestro contrato con usted. Le informaremos cuando sea necesario que nos facilite sus Datos de Carácter Personal, y del impacto sobre su relación en caso de no hacerlo. Por ejemplo, si no nos proporciona sus datos bancarios, no podremos pagarle. En algunos casos, ello podría suponer que no podamos continuar con su contratación, dado que la Sociedad no dispondrá de los Datos de Carácter Personal que entendemos necesarios para la efectiva y eficiente administración y gestión de nuestra relación con usted.

3. Base jurídica y fines del Tratamiento

3.1 Base jurídica del Tratamiento

Cuando tratamos Datos de Carácter Personal, lo hacemos apoyándonos en la llamada “base jurídica del tratamiento”. Para realizar el tratamiento de sus Datos de Carácter Personal, nos apoyaremos en una de las siguientes bases jurídicas:

  • el tratamiento resulta necesario para dar efecto a su contrato de trabajo, o para tomar medidas precontractuales: recabar detalles de la cuenta bancaria para abonar su salario por domiciliación directa, reembolsar gastos, abonar bonus; gestionar adjudicación de acciones e incentivos; administrar beneficios contractuales; crear sus derechos de acceso; responder a y resolver expedientes de agravio; gestionar datos de contactos y beneficiarios; administrar acciones disciplinarias y terminaciones; facilitar referencias; evaluar solicitudes relativas a nuevas oportunidades de trabajo para empleados existentes; tomar decisiones sobre la contratación; analizar su rendimiento en el trabajo; y facilitar el cumplimiento de sus deberes y responsabilidades;

  • el tratamiento resulta necesario para que nosotros cumplamos con una obligación legal conforme a las leyes españolas y de la Unión Europea: administrar beneficios obligatorios; revisar su elegibilidad para trabajar; crear un registro sobre el empleado (incluidas ausencias); abordar cuestiones de salud laboral; gestionar cualificaciones profesionales; gestionar y comunicar cuestiones relativas a la salud y la seguridad en el trabajo; gestionar la seguridad informática; comunicar datos fiscales a las autoridades públicas, o información salarial a sistemas nacionales de seguro y/o seguridad social; colaborar en investigaciones de la administración pública o fuerzas de seguridad; responder a solicitudes judiciales o de las fuerzas de seguridad; y cumplir con los requisitos de conservación exigidos;

  • El tratamiento se basa en nuestro interés legítimo como negocio y como su empleador (o el interés legítimo de un tercero); supervisar el uso de los sistemas informáticos, de conformidad con el Artículo 87 de la nueva Ley Orgánica 3/2018 sobre Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (“NLOPD”), y la Política sobre Acceso y Supervisión implantada por CRS conforme a la anterior; responder a las reclamaciones de los clientes; preparar o ejecutar reestructuraciones; y facilitar la dirección de nuestro negocio;

3.2 Tratamiento para fines de dirección corporativa y gestión de recursos humanos

CRS tratará sus Datos de Carácter Personal para fines de gestión de RR.HH., y para llevar a cabo la operación de nuestro negocio de manera eficiente. Ello podría incluir el tratamiento de sus Datos de Carácter Personal para:

  • evaluar solicitudes relativas a nuevas oportunidades de trabajo para empleados existentes, y tomar decisiones de contratación;

  • analizar su elegibilidad para trabajar;

  • crear derechos de acceso a los sistemas informáticos e instalaciones;

  • crear un registro sobre el empleado en nuestro sistema informático de RR.HH.;

  • gestionar cuestiones cotidianas de su relación laboral, incluidas:

    • abono de salarios, gastos reembolsables y bonus;

    • gestionar planes de incentivos;

    • administrar beneficios;

    • crear y mantener registros relativos a sus ausencias del trabajo;

    • crear y mantener un historial de formación, y administrar programas de formación;

    • abordar cuestiones de salud e incapacidad laborales, y realizar los ajustes razonables;

    • analizar e informar sobre su rendimiento en el trabajo;

    • responder a y resolver expedientes de agravio;

    • dirigir expedientes disciplinarios o de agravio; y

    • gestionar certificados/licencias profesionales, e interactuar con los entes regulatorios en su nombre;

  • conservar los datos de los contactos en caso de emergencia y los beneficiarios;

  • gestionar los aspectos de salud y seguridad en el trabajo, e informar de incidencias;

  • supervisar el uso de los sistemas informáticos por parte del empleado, a fin de verificar el cumplimiento de las obligaciones laborales, y preservar la seguridad de nuestros sistemas informáticos, en consonancia con el Artículo 87 de la NLOPD y con nuestra Política de Acceso y Supervisión específica.

  • llevar a cabo o colaborar con investigaciones internas, de la administración pública, las fuerzas del orden u otras;

  • investigar responder a las reclamaciones de los clientes;

  • diseñar o ejecutar la reestructuración o financiación de activos o entidades del grupo;

  • preparar o responder a solicitudes de litigios, legales, de las fuerzas del orden u otras;

  • administrar la extinción de la contratación y facilitar referencias; y

  • facilitar el cumplimiento de sus deberes y responsabilidades, y la dirección de nuestro negocio.

Según lo antedicho, cuando los Datos de Carácter Personal se basan en nuestro interés legítimo y, concretamente nuestro interés en:

  • la gestión y operación de la Sociedad, así como del grupo Cross River (en el sentido del Artículo 42 del Código de Comercio);

  • nuestro compromiso con nuestra plantilla;

  • el desarrollo de nuestro negocio y el negocio del grupo Cross River, en su conjunto;

  • incrementar la eficiencia de nuestros procesos y prácticas;

  • esforzarnos por garantizar el cumplimiento de las leyes aplicables y normas empresariales;

  • evitar o mitigar los daños que se le puedan causar a usted, nuestros clientes y accionistas, a nosotros y al grupo Cross River, y a terceros.

En circunstancias excepcionales, los programas realmente voluntarios podrían implicar el tratamiento basado en su consentimiento. Si, para el tratamiento en cuestión, se requiere el consentimiento, éste se le solicitará de manera independiente para garantizar que se presta libremente, de manera específica, informada e inequívoca y, cuando resulte necesario, explícita. La información relativa al tratamiento basado en su consentimiento se le comunicará en el momento en que se solicite el consentimiento, junto con las consecuencias de no facilitar tal consentimiento. No es condición ni requisito necesario de su contratación aceptar solicitud alguna de consentimiento por parte de la Sociedad.

3.3 Establecer, ejercer y defender demandas judiciales

La Sociedad podrá tratar sus Datos de Carácter Personal a efectos de establecer, ejercer y defender posibles demandas judiciales. Sus Datos de Carácter Personal son tratados por tal motivo, sobre la base del interés legítimo y autorización legal de la Sociedad, para poder establecer, ejercer y/o defender posibles demandas judiciales en el supuesto de conflicto o controversia entre usted y la Sociedad, o entre la Sociedad y un tercero, que pudiera referirse o afectar a su contratación, así como en el contexto de la organización y realización de investigaciones internas, o investigaciones o requerimientos de la administración pública o las fuerzas del orden.

4. Recogida

Los Datos de Carácter Personal sobre usted que tratamos han sido facilitados principalmente por usted, durante su solicitud de empleo, el proceso de entrada de empleados, o los procesos de gestión de RR.HH., y en el transcurso de su trabajo.

En general, usted proporcionará los Datos de Carácter Personal directamente a sus superiores o contactos locales de Recursos Humanos, o los introducirá en los sistemas correspondientes (por ejemplo, a través de su participación en procesos de Recursos Humanos, emails que usted envíe, o a través de información verbal de la que se pudiera tomar nota).

Durante el proceso de contratación, podremos solicitar referencias académicas y de anteriores trabajos a terceros, y llevar a cabo procesos de selección e investigación del personal, utilizando fuentes de terceros, y conservar tales Datos de Carácter Personal después de que haya sido contratado. No se recogerá ni tratará información sobre antecedentes penales o infracciones legales. También recibimos información de su superior que podría incluir sus Datos de Carácter Personal (por ejemplo, con respecto a las revisiones de desempeño), de Recursos Humanos, o de otros compañeros (por ejemplo, en el desarrollo de una investigación disciplinaria).

En ocasiones, podríamos recibir también Datos de Carácter Personal sobre usted, de otros terceros: nuestros clientes y vendedores, nuestros socios de negocio, órganos regulatorios, autoridades tributarias o judiciales, o proveedores de beneficios. En algunas circunstancias, los Datos de Carácter Personal podrían ser recogidos indirectamente desde dispositivos de supervisión o por otros medios.

5. Plazos de conservación

Nuestro enfoque general es únicamente conservar los Datos de Carácter Personal de nuestros empleados durante el tiempo requerido para satisfacer el fin para el que los recogimos o nos los proporcionó, incluido el plazo de prescripción aplicable, que podrá ir más allá de la vigencia de su contratación. Por ejemplo, conservamos registros a fin de resolver cuestiones o conflictos planteados, o para presentar o defender demandas que pensemos pueden surgir en algún momento, durante el plazo de prescripción relevante. En ciertos casos, las obligaciones legales o regulatorias nos exigen que conservemos registros específicos durante un período de tiempo determinado, incluido el que sigue a la finalización de su contratación.

6. Quiénes pueden acceder a sus Datos de Carácter Personal

Dentro de la Sociedad, el grupo Cross River puede acceder y divulgar sus Datos de Carácter Personal (conforme a lo dispuesto en el Artículo 42 del Código de Comercio) según resulte necesario conocerlos, a:

  • los departamentos de Recursos Humanos, locales y globales, incluidos directores y otros miembros del equipo de RR.HH.;

  • la dirección local y ejecutiva encargada de su relación con la Sociedad, o cuando implique algún proceso de Recursos Humanos relativo a su relación con la Sociedad (incluido, a efectos enunciativos que no limitativos, el personal de los departamentos de Cumplimiento, Jurídico, Informático y Auditoría);

  • administradores del sistema informático; y

  • cuando resulte necesario para la ejecución de tareas específicas o mantenimiento del sistema por parte del personal de la Sociedad, como, por ejemplo, el Departamento Financiero y el Departamento Informático.

Ciertos Datos de Carácter Personal básicos, tales como su nombre, ubicación, puesto de trabajo e información de contacto podrán ser también accesibles para otros empleados del grupo Cross River, mundialmente, a través de los sistemas utilizados de manera interna.

Podrán acceder a sus Datos de Carácter Personal terceros que realizan el tratamiento de los datos en nuestro nombre (proveedores de servicios de gastos de viaje, compañías que nos proporcionan alojamiento, soporte y mantenimiento para nuestros sistemas informáticos, proveedores de servicios financieros y de beneficios, y sus empresas afiliadas y subcontratistas). Los datos contenidos en tales sistemas serán accesibles por los proveedores de dichos sistemas, sus empresas afiliadas y subcontratistas. Estos proveedores de servicios actuarán normalmente como “encargados del tratamiento”, llevando a cabo sus funciones en nuestro nombre conforme a nuestras instrucciones para los fines antedichos. En tal caso, sus Datos de Carácter Personal serán divulgados a dichas partes en la medida de lo necesario para prestar los servicios requeridos. Si se convirtieran en “responsables del tratamiento” por decidir parte de los criterios aplicados en los procesos de tratamiento, se le informaría antes, y las políticas de privacidad de tales terceros (y los términos principales de los acuerdos conjuntos de responsabilidad del tratamiento) se le comunicarían.

Otros terceros con los que se compartirán sus Datos de Carácter Personal son: autoridades tributarias y regulatorias, planes de pensiones nacionales, proveedores de seguridad social nacionales, las aseguradoras de la Sociedad, banqueros, administradores informáticos, abogados, auditores, inversores, compradores potenciales, consultores y otros asesores profesionales, y administradores de los programas de beneficios de la Sociedad. La Sociedad espera que dichos terceros traten los Datos de Carácter Personal que se les haya comunicado conforme a lo dispuesto en las leyes aplicables, incluso al respecto de confidencialidad y seguridad de los datos.

Por otro lado, podremos compartir Datos de Carácter Personal con autoridades judiciales nacionales u otras, o con las partes de un litigio y sus asesores, a fin de ejercer o defender derechos en tribunales, o cumplir con las obligaciones legales a las que estemos sujetos. Tal es el caso, por ejemplo, con relación a procedimientos legales inminentes o pendientes o auditorías estatutarias.

7. Transferencia de sus Datos de Carácter Personal

Podremos almacenar, acceder a, o transferir sus Datos de Carácter Personal a destinatarios ubicados en EE.UU. o múltiples países fuera del Espacio Económico Europeo, a los efectos y a los destinatarios señalados en la presente Política. Cuando transferimos Datos de Carácter Personal a terceros (incluidas sociedades filiales) o proveedores en EE.UU. o a otros países que la Comisión Europea no hubiera concluido otorgan la protección adecuada a los Datos de Carácter Personal, transferimos tales datos según lo permitido por las leyes aplicables en materia de protección de datos, conforme a las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

Cuando resulte aplicable, usted tendrá derecho, previa solicitud a privacy@crossriver.com, a recibir copia de cualquier contrato relevante, incluidas las oportunas garantías (por ejemplo, Cláusulas Contractuales Tipo) para la protección de sus Datos de Carácter Personal con relación a dicha transferencia. La transferencia de Datos de Carácter Personal conforme a esta Cláusula se fundamente en las mismas bases legales aplicables a los respectivos fines del tratamiento señalados anteriormente.

8. Derechos sobre sus datos

Con sujeción a condiciones particulares previstas en las leyes aplicables (concretamente, en el Reglamento General de Protección de Datos 2016/679 de la UE, el “RGPD” y en la NLOPD), usted ostenta los siguientes derechos con respecto a sus Datos de Carácter Personal:

  • Derecho de Acceso - dispone del derecho a solicitar el acceso a cualquiera de sus Datos de Carácter Personal que la Sociedad pudiera poseer, y a obtener información sobre el tratamiento de dichos datos.

  • Derecho de rectificación - tendrá derecho a que se corrijan los Datos de Carácter Personal inadecuados, incompletos o incorrectos. También será responsable de asegurarse de que los cambios en las circunstancias personales se notifican a la Sociedad para que podamos garantizar que sus Datos de Carácter Personal están actualizados. Asimismo, la Sociedad tomará medidas conforme a la legislación aplicable para mantener sus Datos de Carácter Personal exactos, completos y actualizados.

  • Derecho de Supresión - con sujeción a las limitaciones legales aplicables, tendrá derecho a que se supriman sus Datos de Carácter Personal en determinadas circunstancias, cuando no exista impedimento legal, incluido el requisito de mitigar el fraude, como, por ejemplo, cuando haya retirado su consentimiento, se oponga al tratamiento basándose en interés legítimo debido a su situación particular y nosotros no tengamos razones legítimas que prevalezcan sobre ello, o cuando los Datos de Carácter Personal sean tratados de manera ilícita.

  • Derecho a Limitar el Tratamiento - usted tiene derecho a limitar el tratamiento por nuestra parte de sus Datos de Carácter Personal, cuando:

    • cuestione la exactitud de los Datos de Carácter Personal, hasta que hayamos tomado las medidas suficientes para corregir o verificar su exactitud;

    • el tratamiento sea ilícito pero no desee que eliminemos los Datos de Carácter Personal;

    • ya no necesitemos sus Datos de Carácter Personal para los fines del tratamiento, pero usted los requiera para la formulación, el ejercicio o la defensa de reclamaciones legales; o

    • usted se hubiera opuesto al tratamiento basado en razones de interés legítimo, pendiente de verificación de si la Sociedad tiene “motivos legítimos imperiosos” para continuar con el tratamiento.

Cuando sus Datos de Carácter Personal estén sujetos a limitación, los trataremos únicamente con su previo consentimiento, libre e informado, o para el establecimiento, ejercicio o defensa de demandas legales.

  • Derecho a retirar el consentimiento - en el supuesto excepcional de que se traten sus Datos de Carácter Personal sobre la base de su consentimiento, usted tendrá derecho a retirar el consentimiento en cualquier momento, sin afectar a la legalidad del tratamiento basado en el consentimiento previo a su retirada.

  • Derecho a oponerse al tratamiento basado en razones de interés legítimo - cuando nos apoyemos en nuestro interés legítimo para tratar Datos de Carácter Personal, usted tendrá derecho a oponerse a dicho tratamiento, basándose en motivos relativos a su situación particular. Si usted se opone, cesaremos dicho tratamiento a menos que podamos acreditar motivos legítimos imperiosos para el tratamiento que prevalezcan sobre sus intereses, derechos y libertades, o necesitemos tratar los Datos de Carácter Personal para la formulación, el ejercicio o la defensa de reclamaciones legales. Cuando nos apoyemos en un interés legítimo como base jurídica del tratamiento, entendemos que podemos demostrar dichos motivos legítimos imperiosos, pero tendremos en cuenta cada caso de manera individual.

  • Portabilidad de datos - cuando nos apoyemos (como base jurídica para el tratamiento) en su consentimiento, o en el hecho de que el tratamiento es necesario para ejecutar un contrato del que usted sea parte o para tomar medidas a su solicitud antes de formalizar un contrato, y los Datos de Carácter Personal se traten por medios automatizados, tendrá usted derecho a recibir todos los Datos de Carácter Personal que hubiera facilitado a la Sociedad, en formato estructurado, de uso común y legible por máquina, así como a solicitarnos los transmitamos a otro responsable del tratamiento, cuando ello sea técnicamente factible.

Si resulta oportuno, y en circunstancias excepcionales, podríamos pedirle información adicional para verificar su identidad. Cada uno de los derechos listados anteriormente podrán estar sujetos a exenciones conforme al RGPD o las leyes locales. Cuando nos apoyamos en exenciones para retener información o abstenernos de cumplir con la totalidad o parte de una solicitud, le daremos detalles de ello.

También tiene derecho a presentar una reclamación ante la autoridad supervisora, concretamente la de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción (en el caso de España, visite www.aepd.es para ponerse en contacto con la Agencia Española de Protección de Datos, si considera que dicho tratamiento de sus Datos de Carácter Personal infringe las leyes aplicables.

9. Datos de carácter personal de terceros

Aparte de los Datos de Carácter Personal relativos a su persona, podrá también facilitar a la Sociedad Datos de Carácter Personal de terceros, principalmente sus familiares a cargo y otros miembros de la familia y beneficiarios, a efectos de administrar los beneficios, y como contacto en caso de emergencia (en este último caso, la base jurídica para el tratamiento será la necesidad de proteger sus intereses vitales como interesado, o los de otra persona física). Antes de facilitar los Datos de Carácter Personal de dichos terceros a la Sociedad, deberá primero informar fehacientemente a estos terceros de los Datos de Carácter Personal que pretenda facilitar a la Sociedad y del tratamiento que ésta realizará, según lo descrito en esta Política.

10. Medidas de seguridad

Aplicamos lo que consideramos son estándares razonables de seguridad físicos, técnicos y administrativos, diseñados para proteger sus Datos de Carácter Personal frente a pérdida, uso indebido, alteración, destrucción o daños.

Tomamos medidas para limitar el acceso a sus Datos de Carácter Personal a aquellos compañeros o proveedores de servicios que necesitan tener acceso a ellos para cualquiera de los fines anteriormente descritos.

Usted también desempeña un importante papel en la protección de la seguridad de sus Datos de Carácter Personal, y debería tener cautela al revelar Datos de Carácter Personal, y en el modo en que protege sus comunicaciones y dispositivos.

11. Cómo ponerse en contacto con Cross River Sepharad - Ejercer sus derechos sobre sus datos

Para obtener más información sobre sus derechos, ejercer cualquiera de ellos (distinto al de presentar una reclamación ante la autoridad supervisora), o plantear alguna pregunta relativa al tratamiento de sus Datos de Carácter Personal, puede ponerse en contacto con privacy@crossriver.com.

12. Actualizaciones

Todo cambio o actualización que pudiéramos realizar a esta Política será publicado previamente en esta página. Notificaremos previamente a los empleados actuales cualesquiera cambios a la presente Política que sean sustanciales o puedan afectarles. Por lo que respecta a otros cambios, le rogamos compruebe de nuevo, frecuentemente, en esta página, si existe alguna actualización o cambio a esta Política.